JP3739772B2 - Network system - Google Patents

Network system Download PDF

Info

Publication number
JP3739772B2
JP3739772B2 JP2003435500A JP2003435500A JP3739772B2 JP 3739772 B2 JP3739772 B2 JP 3739772B2 JP 2003435500 A JP2003435500 A JP 2003435500A JP 2003435500 A JP2003435500 A JP 2003435500A JP 3739772 B2 JP3739772 B2 JP 3739772B2
Authority
JP
Japan
Prior art keywords
terminal
authentication
management server
management
switching unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2003435500A
Other languages
Japanese (ja)
Other versions
JP2005196279A (en
Inventor
英樹 吉井
誠 村上
Original Assignee
日本テレコム株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 日本テレコム株式会社 filed Critical 日本テレコム株式会社
Priority to JP2003435500A priority Critical patent/JP3739772B2/en
Priority to PCT/JP2004/019414 priority patent/WO2005064486A1/en
Publication of JP2005196279A publication Critical patent/JP2005196279A/en
Application granted granted Critical
Publication of JP3739772B2 publication Critical patent/JP3739772B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Description

本発明は、遠隔一元的に各端末のセキュリティ管理を行なうことができるネットワークシステムに関する。   The present invention relates to a network system capable of performing security management of each terminal remotely and centrally.

近年、イントラネットなど企業内ネットワークにおいて、ウイルスやハッカーなどによる攻撃など被害が続出しており、インターネットなどの外部ネットワークに対するセキュリティ対策は重要である。このため、外部ネットワークとの境界にファイアウオールを設置するなどして、外部からの不正アクセス等を排除することが一般的に行なわれている。また、こうしたファイアウオールにウイルス検知ソフトウエアをインストールしてウイルス対策を行なうことも一般的に行なわれている。   In recent years, damages such as attacks by viruses and hackers have continued in corporate networks such as intranets, and security measures for external networks such as the Internet are important. For this reason, it is a common practice to eliminate unauthorized access from the outside by installing a firewall at the boundary with the external network. It is also common to install virus detection software on such firewalls to take measures against viruses.

しかし、ファイアウオールにウイルス検知ソフトウエアをインストールして、LANを宛先とするデータ全てのウイルス検知・駆除等を一括して行なわせると、ファイアウオールの負荷が大きくなり、ネットワークのパフォーマンスが低下し易いという問題がある。このため、ファイアウオールにウイルス検知を一括して行なわせる代わりに、LANに接続された個々の端末にウイルス検知ソフトウエアを実装させ、これによりウイルス対策を行なうことが、一般的に行なわれている。   However, if virus detection software is installed in the firewall and virus detection / disinfection of all data destined for the LAN is performed at once, the firewall load increases and network performance tends to deteriorate. There is. For this reason, it is a general practice to implement virus countermeasures by installing virus detection software on individual terminals connected to the LAN instead of having the firewall perform virus detection all at once.

ところで、こうしたウイルス検知ソフトウエアは、新型のウイルスに対応したウイルス検知用データ、例えば、ウイルス定義ファイル、パターンファイルなどを常に更新しておかないと、有効に動作しない。端末ごとにウイルス検知ソフトウエアをインストールして、端末ごとにウイルス対策を行なわせる形態をとる場合、こうしたウイルス検知用データの更新は、端末ごとに行う必要があるが、多数の端末のうち、一部でもこうしたウイルス検知用データの更新を怠ってしまうと、その端末がウイルスに感染し、このウイルスが他の端末にも伝染してしまうという問題がある。   By the way, such virus detection software does not operate effectively unless virus detection data corresponding to a new type of virus, for example, a virus definition file, a pattern file, or the like is constantly updated. When virus detection software is installed on each terminal and antivirus measures are taken on each terminal, such virus detection data needs to be updated for each terminal. If we fail to update such virus detection data, the terminal will be infected with the virus, and this virus will be transmitted to other terminals.

また、オペレーティングシステム(OS)やメールソフトウエア、ブラウザソフトウエア等に欠陥がある場合には、その欠陥を補修してウイルスの攻撃を回避するためのパッチファイルをインストールすることが必要である。パッチファイルの取得は、近年においては、ソフトウエア会社のホームページ等からインターネットを通じてダウンロードすることにより行なわれるのが一般的である。多数の端末のうち、一部でもこうしたパッチファイルのダウンロードを怠ると、その端末がいわゆるサイバーテロやハッカーからの攻撃を受け、ネットワーク内に侵入されるという問題がある。   In addition, when there is a defect in the operating system (OS), mail software, browser software, etc., it is necessary to repair the defect and install a patch file for avoiding virus attacks. In recent years, patch files are generally acquired by downloading from the home page of a software company through the Internet. If there is a failure to download such a patch file among a large number of terminals, there is a problem in that the terminal is attacked by so-called cyber terrorism or hackers and is infiltrated into the network.

端末でのセキュリティ対策状況、例えばウイルス検知ソフトウエアのインストール、最新のウイルス検知用データ、パッチファイル等のダウンロード等、セキュリティ確保のために必要又は有効な対策状況をセンタシステムにおいて検査し、必要なセキュリティ情報(例えば、ウイルス情報)を端末に提供するシステムが、特許文献1により知られている。   Check the security status on the terminal, such as installing virus detection software, downloading the latest virus detection data, patch files, etc. A system for providing information (for example, virus information) to a terminal is known from Patent Document 1.

特開2003−288321号公報JP 2003-288321 A

しかし、この特許文献1のシステムにおいては、各端末のセキュリティ対策の不十分さが見つかっても、その端末がネットワークに接続されたままとなり、このような端末からウイルスがネットワーク中に蔓延する虞がある。   However, in the system of Patent Document 1, even if the security measures of each terminal are found to be insufficient, the terminal remains connected to the network, and there is a risk that viruses will spread from such terminals into the network. is there.

また、各端末のセキュリティ対策状況を認識可能な管理端末を用意し、その管理端末によって遠隔的に各端末のセキュリティを管理する方法がある。このような管理端末を用いて各端末のセキュリティを管理する方法は、遠隔一元的にセキュリティ管理を行なうことができるというメリットを有するが、管理端末によってある端末のセキュリティ対策が不十分であることが認識されたとしても、管理者がその端末の利用者に知らせてその端末側からネットワークへの接続を断ったりしなければならず、迅速に対応することができないという問題がある。  Also, there is a method of preparing a management terminal capable of recognizing the security countermeasure status of each terminal and remotely managing the security of each terminal by the management terminal. The method of managing the security of each terminal using such a management terminal has an advantage that security management can be performed remotely and centrally, but the security measures of a certain terminal by the management terminal may be insufficient. Even if it is recognized, there is a problem that the manager must notify the user of the terminal and disconnect the connection from the terminal side to the network, and cannot respond quickly.

そこで、本発明は、遠隔一元的にセキュリティ管理を行なうことができるとともに、ウイルスなどによる被害に対して迅速に対応することができるネットワークシステムを提供することを目的とする。   SUMMARY OF THE INVENTION An object of the present invention is to provide a network system that can perform security management in a centralized manner and can quickly cope with damage caused by viruses.

以上のよう目的を達成するため、本発明は、少なくとも1以上のローカルネットワークと、端末が接続可能で、接続されている端末を前記少なくとも1以上のローカルネットワークのいずれか一つにアクセス可能な状態とさせるスイッチング部と、該スイッチング部に接続されている端末のセキュリティ対策状況及び認証情報のうち少なくともいずれかを認識可能な管理端末と、前記スイッチング部に接続されている端末の接続元に関するデータを前記端末の認証情報関連付けて記憶する端末データベースと、前記スイッチング部に接続されている端末の認証情報に基づいて前記端末データベースに記憶されている端末の接続元に関するデータを検索可能な管理サーバと、を備えたネットワークシステムであって、前記管理端末は、前記一の端末の接続を遮断することの要請を前記管理サーバに前記一の端末の認証情報とともに送信可能に構成されており、前記管理サーバは、前記一の端末の接続を遮断することの要請を前記管理端末から受信すると、前記端末データベースに記憶されている前記一の端末の接続元に関するデータを検索し、前記スイッチング部は、前記管理サーバによって検索された前記一の端末の接続元に関するデータに基づいて、前記一の端末との接続を遮断することを特徴とする。 To achieve the above object, the present invention includes at least one or more local networks, terminals can be connected, a terminal that is connectable to access one of the at least one or more local networks A switching unit to be in a state, a management terminal capable of recognizing at least one of a security measure status and authentication information of a terminal connected to the switching unit, and data relating to a connection source of the terminal connected to the switching unit and a terminal database that associates and stores the authentication information of the terminal, searchable management server data relating to connection source terminal stored in the terminal database on the basis of the authentication information of the terminal connected to the switching unit A network system comprising the management terminal, A request to cut off the connection of the one terminal is transmitted to the management server together with the authentication information of the one terminal, and the management server sends a request to cut off the connection of the one terminal. When received from the management terminal, the data related to the connection source of the one terminal stored in the terminal database is searched, and the switching unit is based on the data related to the connection source of the one terminal searched by the management server. Then, the connection with the one terminal is cut off.

以上のように本発明に係るネットワークシステムによれば、管理端末によってセキュリティや認証情報などが不審な端末を認識した場合、管理端末からの遠隔操作によって、その端末の接続を遮断することができる。   As described above, according to the network system of the present invention, when a management terminal recognizes a terminal whose security or authentication information is suspicious, the connection of the terminal can be blocked by remote operation from the management terminal.

また、上記目的を達成するため、本発明は、少なくとも1以上のローカルネットワークと、前記ローカルネットワークにアクセス不可で、セキュリティ対策可能なセキュリティ対策用ネットワークと、端末が接続可能で、接続されている端末を前記少なくとも1以上のローカルネットワーク及び前記セキュリティ対策用ネットワークのいずれか一つにアクセス可能な状態とさせるスイッチング部と、該スイッチング部に接続されている端末のセキュリティ対策状況及び認証情報のうち少なくともいずれかを認識可能な管理端末と、前記スイッチング部に接続されている端末の接続元に関するデータを前記端末の認証情報と関連付けて記憶する端末データベースと、前記スイッチング部に接続されている端末の認証情報に基づいて前記端末データベースに記憶されている端末の接続元に関するデータを検索可能な管理サーバと、を備えたネットワークシステムであって、前記管理端末は、前記少なくとも1以上のローカルネットワークのいずれかにアクセス可能な状態にされている一の端末のアクセス先を前記セキュリティ対策用ネットワークに変更することの要請を前記管理サーバに前記一の端末の認証情報とともに送信可能に構成されており、前記管理サーバは、前記一の端末のアクセス先の変更の要請を前記管理端末から受信すると、前記端末データベースに記憶されている前記一の端末の接続元に関するデータを検索し、前記スイッチング部は、前記管理サーバによって検索された前記一の端末の接続元に関するデータに基づいて、前記一の端末のアクセス先を前記セキュリティ対策用ネットワークに変更するよう構成されていることを特徴とする。 In order to achieve the above object, the present invention provides at least one or more local networks, a security countermeasure network that is inaccessible to the local network and capable of security countermeasures, and a terminal that can be connected and connected. At least one of a switching unit that enables access to any one of the at least one local network and the security countermeasure network, and security countermeasure status and authentication information of a terminal connected to the switching unit A terminal that stores data relating to a connection source of a terminal connected to the switching unit in association with authentication information of the terminal, and authentication information of the terminal connected to the switching unit Based on the terminal data A management server capable of searching for data relating to a connection source of a terminal stored in a base, wherein the management terminal is in a state accessible to any of the at least one local network. A request to change the access destination of the one terminal to the security countermeasure network can be transmitted to the management server together with the authentication information of the one terminal, and the management server When a request for changing the access destination of a terminal is received from the management terminal, the terminal searches for data related to the connection source of the one terminal stored in the terminal database, and the switching unit is searched for by the management server The access destination of the one terminal is determined based on the data related to the connection source of the one terminal. Characterized in that it is configured to change the I countermeasure network.

以上のように本発明に係るネットワークシステムによれば、管理端末によってセキュリティ対策が不十分な端末を認識した場合、管理端末からの遠隔操作によって、その端末の接続先をセキュリティ対策用ネットワークに変更することができる。また、本発明に係るネットワークシステムにおいて、前記管理端末は、前記管理サーバに前記一の端末の接続を遮断することの要請を前記一の端末の認証情報とともに送信可能に構成されており、前記管理サーバは、前記一の端末の接続を遮断することの要請を前記管理端末から受信すると、前記端末データベースに記憶されている前記一の端末の接続元に関するデータを検索し、前記スイッチング部は、前記管理サーバによって検索された前記一の端末の接続元に関するデータに基づいて、前記一の端末との接続を遮断するよう構成しても良い。さらに、本発明に係るネットワークシステムにおいて、セキュリティ対策用ネットワークは、ウイルス検知用データやOSなどのパッチファイルなどを各端末に供給可能なネットワークであって、ウイルス検知用データやOSなどのパッチファイルなどセキュリティ対策用のデータを供給可能なセキュリティ対策サーバにインターネットやイントラネットなどを通じてアクセスすることができるものである。 As described above, according to the network system of the present invention, when a terminal with insufficient security measures is recognized by the management terminal, the connection destination of the terminal is changed to the security countermeasure network by remote operation from the management terminal. be able to. Further, in the network system according to the present invention, the management terminal is configured to be able to transmit a request for blocking the connection of the one terminal to the management server together with authentication information of the one terminal. When the server receives a request to cut off the connection of the one terminal from the management terminal , the server searches for data related to the connection source of the one terminal stored in the terminal database, and the switching unit You may comprise so that the connection with the said 1 terminal may be interrupted | blocked based on the data regarding the connection origin of the said 1 terminal searched by the management server. Furthermore, in the network system according to the present invention, the network for security measures is a network that can supply virus detection data, patch files such as an OS to each terminal, such as virus detection data and patch files such as an OS. A security countermeasure server that can supply data for security countermeasures can be accessed through the Internet, an intranet, or the like.

さらに、上記目的を達成するため、本発明は、少なくとも2以上のローカルネットワークと、端末が接続可能で、接続されている端末を前記少なくとも2以上のローカルネットワークのいずれか一つにアクセス可能な状態とさせるスイッチング部と、該スイッチング部に接続されている端末のセキュリティ対策状況及び認証情報のうち少なくともいずれかを認識可能な管理端末と、前記スイッチング部に接続されている端末の接続元に関するデータを前記端末の認証情報と関連付けて記憶する端末データベースと、前記スイッチング部に接続されている端末の認証情報に基づいて前記端末データベースに記憶されている端末の接続元に関するデータを検索可能な管理サーバと、を備えたネットワークシステムであって、前記管理端末は、前記少なくとも2以上のローカルネットワークのうち一のローカルネットワークにアクセス可能な状態にされている一の端末のアクセス先を他のローカルネットワークに変更することの要請を前記管理サーバに前記一の端末の認証情報とともに送信可能に構成されており、前記管理サーバは、前記一の端末のアクセス先の変更の要請を前記管理端末から受信すると、前記端末データベースに記憶されている前記一の端末の接続元に関するデータを検索し、前記スイッチング部は、前記管理サーバによって検索された前記一の端末の接続元に関するデータに基づいて、前記一の端末のアクセス先を前記他のローカルネットワークに変更するよう構成されていることを特徴とする。 Furthermore, in order to achieve the above object, the present invention provides a state in which at least two or more local networks can be connected to a terminal, and the connected terminal can access any one of the at least two or more local networks. A switching unit, a management terminal capable of recognizing at least one of security countermeasure status and authentication information of a terminal connected to the switching unit, and data relating to a connection source of the terminal connected to the switching unit A terminal database stored in association with authentication information of the terminal; a management server capable of retrieving data relating to a connection source of the terminal stored in the terminal database based on authentication information of the terminal connected to the switching unit; , Wherein the management terminal is the network system Authentication of the one terminal is requested to the management server to change the access destination of one terminal that is in a state accessible to one local network out of two or more local networks to another local network When the management server receives a request for changing the access destination of the one terminal from the management terminal, the management server relates to the connection source of the one terminal stored in the terminal database. Searching data, the switching unit is configured to change the access destination of the one terminal to the other local network based on the data related to the connection source of the one terminal searched by the management server. It is characterized by being.

以上のように本発明に係るネットワークシステムによれば、管理端末によってセキュリティ対策や認証情報などが不審な端末を認識した場合、管理端末からの遠隔操作によって、その端末の接続先を他のローカルネットワークに変更することができる。また、本発明に係るネットワークシステムにおいて、前記管理端末は、前記管理サーバに前記一の端末の接続を遮断することの要請を前記一の端末の認証情報とともに送信可能に構成されており、前記管理サーバは、前記一の端末の接続を遮断することの要請を前記管理端末から受信すると、前記端末データベースに記憶されている前記一の端末の接続元に関するデータを検索し、前記スイッチング部は、前記管理サーバによって検索された前記一の端末の接続元に関するデータに基づいて、前記一の端末との接続を遮断するよう構成しても良い。   As described above, according to the network system according to the present invention, when a management terminal recognizes a terminal whose security countermeasures or authentication information is suspicious, the connection destination of the terminal is connected to another local network by remote control from the management terminal. Can be changed. Further, in the network system according to the present invention, the management terminal is configured to be able to transmit a request for blocking the connection of the one terminal to the management server together with authentication information of the one terminal. When the server receives a request to cut off the connection of the one terminal from the management terminal, the server searches for data related to the connection source of the one terminal stored in the terminal database, and the switching unit You may comprise so that the connection with the said 1 terminal may be interrupted | blocked based on the data regarding the connection origin of the said 1 terminal searched by the management server.

またさらに、上記目的を達成するため、本発明は、少なくとも1以上のローカルネットワークと、前記ローカルネットワークにアクセス不可で、セキュリティ対策可能なセキュリティ対策用ネットワークと、端末が接続可能で、接続されている端末を前記少なくとも1以上のローカルネットワーク及び前記セキュリティ対策用ネットワークのいずれか一つにアクセス可能な状態とさせるスイッチング部と、該スイッチング部に接続されている端末のセキュリティ対策状況及び認証情報のうち少なくともいずれかを認識可能な管理端末と、前記スイッチング部に接続されている端末の接続元に関するデータを前記端末の認証情報と関連付けて記憶する端末データベースと、前記スイッチング部に接続されている端末のセキュリティ対策の状態を認証する認証部と、前記スイッチング部に接続されている端末の認証情報に基づいて前記端末データベースに記憶されている端末の接続元に関するデータを検索可能な管理サーバと、を備えたネットワークシステムであって、前記管理端末は、前記スイッチング部に接続されている一の端末の再認証の要請を前記管理サーバに前記一の端末の認証情報とともに送信可能に構成されており、前記管理サーバは、前記スイッチング部に接続されている一の端末の再認証の要請を前記管理端末から受信すると、前記端末データベースに記憶されている前記一の端末の接続元に関するデータを検索し、前記認証部は、前記管理サーバによって検索された前記一の端末の接続元に関するデータに基づいて、前記一の端末のセキュリティ対策の状態を再認証し、前記スイッチング部は、前記認証部による再認証によって接続されている端末のセキュリティ対策が十分であると認証された場合、接続されている端末を前記少なくとも1以上のローカルネットワークにアクセス可能な状態にし、前記認証部による再認証によって接続されている端末のセキュリティ対策が不十分であると認証された場合、接続されている端末を前記セキュリティ対策用ネットワークにアクセス可能な状態にすることを特徴とする。 Still further, in order to achieve the above object, the present invention is connected to at least one or more local networks, a network for security measures that is inaccessible to the local network and capable of security measures, and a terminal is connectable. A switching unit that makes a terminal accessible to at least one of the at least one local network and the network for security countermeasures, and at least a security countermeasure status and authentication information of a terminal connected to the switching section A management terminal capable of recognizing any of them, a terminal database for storing data related to a connection source of the terminal connected to the switching unit in association with authentication information of the terminal, and security of the terminal connected to the switching unit The state of the measure And a management server capable of retrieving data related to a terminal connection source stored in the terminal database based on authentication information of a terminal connected to the switching unit. The management terminal is configured to be able to transmit a request for re-authentication of one terminal connected to the switching unit to the management server together with authentication information of the one terminal, and the management server When a request for re-authentication of one terminal connected to a unit is received from the management terminal, data relating to the connection source of the one terminal stored in the terminal database is searched, and the authentication unit performs the management Based on the data related to the connection source of the one terminal retrieved by the server, the status of the security measures of the one terminal is reconfirmed The switching unit is in a state in which the connected terminal can access the at least one or more local networks when it is authenticated that the security measures of the connected terminal are sufficient by re-authentication by the authentication unit. When the security measure of the connected terminal is authenticated by re-authentication by the authentication unit, the connected terminal is made accessible to the security countermeasure network. To do.

以上のように本発明に係るネットワークシステムによれば、管理端末によってセキュリティや認証情報などが不審な端末を認識した場合、管理端末からの遠隔操作によって、その端末の再認証を実行することができ、このように再認証の結果によって端末の接続を継続したり、遮断したり、接続先を変更したりすることができる。また、本発明に係るネットワークシステムにおいて、前記管理端末は、前記管理サーバに前記一の端末の接続を遮断することの要請を前記一の端末の認証情報とともに送信可能に構成されており、前記管理サーバは、前記一の端末の接続を遮断することの要請を前記管理端末から受信すると、前記端末データベースに記憶されている前記一の端末の接続元に関するデータを検索し、前記スイッチング部は、前記管理サーバによって検索された前記一の端末の接続元に関するデータに基づいて、前記一の端末との接続を遮断するよう構成しても良い。 As described above, according to the network system of the present invention, when a management terminal recognizes a terminal whose security or authentication information is suspicious, the terminal can be re-authenticated by remote operation from the management terminal. Thus, the terminal connection can be continued, blocked, or the connection destination can be changed according to the result of re-authentication. Further, in the network system according to the present invention, the management terminal is configured to be able to transmit a request for blocking the connection of the one terminal to the management server together with authentication information of the one terminal. When the server receives a request to cut off the connection of the one terminal from the management terminal , the server searches for data related to the connection source of the one terminal stored in the terminal database, and the switching unit You may comprise so that the connection with the said 1 terminal may be interrupted | blocked based on the data regarding the connection origin of the said 1 terminal searched by the management server.

本発明に係るネットワークシステムにおいて、前記認証部は、前記管理端末から前記スイッチング部に接続されている端末の再認証の要請を受信した場合、さらに前記端末の認証情報の再認証を行なうよう構成されており、前記スイッチング部は、前記認証部による再認証によって前記端末の認証情報が所定のものでないと認証された場合、前記端末と前記少なくとも1以上のローカルネットワーク及び前記セキュリティ対策ネットワークのいずれのネットワークとの接続を遮断するように構成されていることが好ましく、前記スイッチング部は、前記管理サーバが前記管理端末から前記スイッチング部に接続されている端末の再認証の要請を受信した場合、前記端末のネットワークとのアクセスを一旦不可の状態にするよう構成されていることが好ましい。本発明に係るネットワークシステムにおいて、セキュリティ対策用ネットワークは、ウイルス検知用データやOSなどのパッチファイルなどを各端末に供給可能なネットワークであって、ウイルス検知用データやOSなどのパッチファイルなどセキュリティ対策用のデータを供給可能なセキュリティ対策サーバにインターネットやイントラネットなどを通じてアクセスすることができるものである。   In the network system according to the present invention, when the authentication unit receives a request for re-authentication of a terminal connected to the switching unit from the management terminal, the authentication unit is further configured to re-authenticate the authentication information of the terminal. And when the authentication information of the terminal is not predetermined by re-authentication by the authentication unit, the switching unit is one of the terminal, the at least one local network, and the security countermeasure network. Preferably, the switching unit is configured to block the connection to the switching unit when the management server receives a request for re-authentication of the terminal connected to the switching unit from the management terminal. Configured to temporarily disable access to other networks Door is preferable. In the network system according to the present invention, the security countermeasure network is a network that can supply virus detection data, patch files such as OS to each terminal, and security measures such as virus detection data and patch files such as OS. It is possible to access a security countermeasure server capable of supplying data for use through the Internet or an intranet.

以上のように、本発明に係るネットワークシステムによれば、遠隔一元的にセキュリティ管理を行なうことができるとともに、ウイルスなどによる被害に対して迅速に対応することができるネットワークシステムを提供することができる。   As described above, according to the network system according to the present invention, it is possible to provide a network system that can perform security management remotely and can quickly cope with damage caused by viruses and the like. .

次に、本発明に係るネットワークシステムの実施例について図面に基づいて説明する。図1は、本実施例に係るネットワークシステムの概念図である。本実施例に係るネットワークシステムは、図1に示すように、ネットワーク10と、端末12(12−1〜4)が接続可能な1以上の接続ポートを有するLANスイッチ14(14−1、14−2)と、LANスイッチ14に接続されている各端末12のセキュリティ対策状況を認識可能な管理端末16と、LANスイッチ14の制御などを行なう管理サーバ18と、LANスイッチ14に接続されている端末12のLANスイッチ14及び接続ポートなど接続元に関するデータを各端末12の認証情報と関連付けて記憶する端末データベース20と、LANスイッチ14に接続されている端末12のセキュリティ対策の状態や所定の認証情報の認証を行なう認証サーバ22と、LANスイッチ14に接続されている端末12の接続先のネットワークの種類に関する情報が記憶されているポリシデータベース24と、を備えている。   Next, an embodiment of a network system according to the present invention will be described with reference to the drawings. FIG. 1 is a conceptual diagram of a network system according to the present embodiment. As shown in FIG. 1, the network system according to this embodiment includes a LAN switch 14 (14-1, 14-) having one or more connection ports to which the network 10 and terminals 12 (12-1 to 4) can be connected. 2), a management terminal 16 capable of recognizing the security countermeasure status of each terminal 12 connected to the LAN switch 14, a management server 18 for controlling the LAN switch 14 and the like, and a terminal connected to the LAN switch 14. 12 LAN switches 14 and connection ports and other data related to the connection source are stored in association with the authentication information of each terminal 12, and the security countermeasure status and predetermined authentication information of the terminals 12 connected to the LAN switch 14 The authentication server 22 that performs the authentication and the network to which the terminal 12 connected to the LAN switch 14 is connected. A policy database 24 in which information about the type of the work are stored, and a.

これらのLANスイッチ14−1、14−2は、所定の規則に基づき、ネットワーク10中に仮想的に形成される複数種類のVLAN(Virtual Local Area Network)のいずれか1つに端末12を接続する。ここではVLANとして、VLAN−1、VLAN−2及びGuest−VLANが形成されている。VLAN−1及びVLAN−2は、セキュリティ対策が十分になされた端末12が接続可能なVLANであり、データサーバ26又は27が接続されている。一方、Guest−VLANは、セキュリティ対策が不十分である端末12が接続されるVLANであり、インターネット28を介して、各種セキュリティ対策用サーバ30に接続可能である。セキュリティ対策サーバ30は、例えばウイルス検知用ソフトウエアやOSの製造メーカのWWWサーバ等である。VLAN−1に接続された端末と、VLAN−2に接続された端末12と、Guest−VLANに接続された端末12とは、それぞれ互いにアクセスすることができないように構成されている。   These LAN switches 14-1 and 14-2 connect the terminal 12 to any one of a plurality of types of VLANs (Virtual Local Area Networks) formed virtually in the network 10 based on a predetermined rule. . Here, VLAN-1, VLAN-2, and Guest-VLAN are formed as VLANs. VLAN-1 and VLAN-2 are VLANs to which a terminal 12 with sufficient security measures can be connected, to which a data server 26 or 27 is connected. On the other hand, the Guest-VLAN is a VLAN to which a terminal 12 with insufficient security measures is connected, and can be connected to various security measures servers 30 via the Internet 28. The security countermeasure server 30 is, for example, virus detection software, an OS manufacturer's WWW server, or the like. The terminal connected to VLAN-1, the terminal 12 connected to VLAN-2, and the terminal 12 connected to Guest-VLAN are configured so that they cannot access each other.

管理端末16は、LANスイッチ14に接続されている各端末12のセキュリティ対策状況、例えばウイルス検知ソフトウエアのウイルス検知用データが最新のものに更新されているか、又はOS、電子メールソフト及びウェブブラウザソフトなどの最新のパッチファイルがインストールされているかなどを認識することができ、これらは、例えばMACアドレスやユーザIDなどその端末12の認証情報と関連付けて認識することができる。すなわち、管理端末16を利用するネットワーク管理者は、LANスイッチ14に接続されている各端末12の遠隔地からそれら各端末12のセキュリティ対策状況をそれら端末12の認証情報と関連付けて認識することができる。また、管理端末16は、各端末12のLANスイッチ14との接続を遮断する旨の通知、各端末12のVLAN−1との接続をGuest−VLANへ変更する旨の通知、各端末12のVLAN−1との接続をVLAN−2へ変更する旨の通知、及び各端末12の再認証を要求する通知などを各端末12の認証情報と関連付けられた状態で管理サーバ18に送信することができるよう構成されている。   The management terminal 16 has the security countermeasure status of each terminal 12 connected to the LAN switch 14, for example, the virus detection data of the virus detection software is updated to the latest one, or the OS, e-mail software and web browser Whether the latest patch file such as software is installed can be recognized, and these can be recognized in association with authentication information of the terminal 12 such as a MAC address and a user ID. That is, the network administrator who uses the management terminal 16 can recognize the security measure status of each terminal 12 from the remote location of each terminal 12 connected to the LAN switch 14 in association with the authentication information of those terminals 12. it can. In addition, the management terminal 16 notifies that each terminal 12 is disconnected from the LAN switch 14, notifies each terminal 12 that the connection to the VLAN-1 is changed to Guest-VLAN, and each terminal 12 VLAN. -1 can be transmitted to the management server 18 in a state associated with the authentication information of each terminal 12, for example, notification that the connection to VLAN-2 is changed to VLAN-2, and a request for re-authentication of each terminal 12. It is configured as follows.

各端末1は、一般的に市販されているウイルス検知ソフトウエアをインストールされているとともに、このウイルス検知ソフトウエアのウイルス検知用データの更新状況、並びにOS、電子メールソフト及びウェブブラウザソフトなどのパッチファイルのダウンロード状況などを含めたセキュリティ対策状況に関するデータをLANスイッチ14を介して管理サーバ18に送信するためのソフトウエア(状態診断ソフトウエア)がインストールされている。 Each terminal 1 2, the virus detection software that are generally commercially available with is installed, update the status of the virus detection software of virus detection data, as well as the OS, such as e-mail software and web browser software Software (status diagnosis software) for transmitting data related to the security countermeasure status including the download status of the patch file to the management server 18 via the LAN switch 14 is installed.

管理サーバ18は、例えばRADIUS(Remote Authentification Dial-In User Service)サーバであり、IEEE802.1Xに対応したLANスイッチ14をRADIUSクライアントとして認識するものである。管理サーバ18は、端末データベース20にアクセスして、管理端末16からの通知とともに送信される端末の認証情報に基づいて、その端末が接続されているLANスイッチ14及び接続ポートに関する情報を検索して取得することができ、その情報のLANスイッチ14に接続ポートの情報とともに管理端末16からの要求を送信することができる。また、管理サーバ18は、ポリシデータベース24にアクセスして、LANスイッチ14に接続されている端末12の接続先を検索し、また接続先が変更した場合にその変更した接続先を記憶させることができる。さらに、管理サーバ18は、端末12から送信されたセキュリティ対策状況データ又は所定の認証情報に基づき、その端末12のセキュリティ対策の状態や所定の認証情報の認証を認証サーバ22に実行させることができる。認証サーバ22における認証は、EAP(PPP Extensible Authentication Protocol)等の認証方式を利用している。すなわち、認証サーバ22は、各端末12から管理サーバ18を介して送信されるセキュリティ対策状況データに基づき、各端末12のセキュリティ対策状況を認証して、その認証結果を管理サーバ18に返信する。例えば、送信されたウイルス検知用データのバージョンが最新のものか否か、最新のパッチファイルがダウンロードされているか否か等を認証する。   The management server 18 is, for example, a RADIUS (Remote Authentication Dial-In User Service) server, and recognizes the LAN switch 14 compatible with IEEE 802.1X as a RADIUS client. The management server 18 accesses the terminal database 20 and searches for information on the LAN switch 14 and the connection port to which the terminal is connected based on the authentication information of the terminal transmitted together with the notification from the management terminal 16. The request from the management terminal 16 can be transmitted to the LAN switch 14 of the information together with the connection port information. Further, the management server 18 can access the policy database 24 to search for a connection destination of the terminal 12 connected to the LAN switch 14 and store the changed connection destination when the connection destination is changed. it can. Further, the management server 18 can cause the authentication server 22 to execute the security countermeasure status of the terminal 12 and authentication of the predetermined authentication information based on the security countermeasure status data or the predetermined authentication information transmitted from the terminal 12. . The authentication in the authentication server 22 uses an authentication method such as EAP (PPP Extensible Authentication Protocol). That is, the authentication server 22 authenticates the security countermeasure status of each terminal 12 based on the security countermeasure status data transmitted from each terminal 12 via the management server 18 and returns the authentication result to the management server 18. For example, it authenticates whether the version of the transmitted virus detection data is the latest version, whether the latest patch file has been downloaded, and the like.

次に、本実施例に係るネットワークシステムの動作について説明する。最初に、ネットワーク管理者が端末12のLANスイッチ14との接続を遮断する場合を図2に示すフローチャートに基づいて説明する。先ず、ネットワーク管理者が不審な端末12−1を発見すると、管理端末16から管理サーバ18に端末12−1との接続を遮断する旨の通知を端末12−1の認証情報とともに送信させる(S100)。管理サーバ16は、その遮断通知を受信すると、端末データベース20にアクセスして遮断通知とともに受信した端末12−1の認証情報に基づいて端末12−1が接続しているLANスイッチ14−1と接続ポートに関する情報を検索し、それらの情報を取得する(S102)。次に、管理サーバ18は、端末データベース20から取得した情報に基づいて、端末12−1が接続しているLANスイッチ14−1に端末12−1が接続している接続ポートに関する情報を送信して、端末12−1との接続を遮断させる(S104)。   Next, the operation of the network system according to the present embodiment will be described. First, the case where the network administrator cuts off the connection with the LAN switch 14 of the terminal 12 will be described based on the flowchart shown in FIG. First, when the network administrator discovers a suspicious terminal 12-1, the management terminal 16 sends a notification to the management server 18 that the connection with the terminal 12-1 is cut off together with the authentication information of the terminal 12-1 (S100). ). When the management server 16 receives the cutoff notification, the management server 16 accesses the terminal database 20 and connects to the LAN switch 14-1 to which the terminal 12-1 is connected based on the authentication information of the terminal 12-1 received together with the cutoff notification. Information regarding the port is searched and the information is acquired (S102). Next, based on the information acquired from the terminal database 20, the management server 18 transmits information on the connection port connected to the terminal 12-1 to the LAN switch 14-1 connected to the terminal 12-1. Then, the connection with the terminal 12-1 is blocked (S104).

次に、ネットワーク管理者がVLAN−1に接続されている端末12の接続先をGuest−LANに強制的に変更する場合を図3に示すフローチャートに基づいて説明する。先ず、ネットワーク管理者がセキュリティ対策が不十分な端末12−2を発見すると、管理端末16から管理サーバ18に端末12−2との接続をGuest−LANに変更する旨の通知を端末12−2の認証情報とともに送信させる(S200)。管理サーバ16は、その変更通知を受信すると、端末データベース20にアクセスして変更通知とともに受信した端末12−2の認証情報に基づいて端末12−2が接続しているLANスイッチ14−1と接続ポートに関する情報を検索し、それらの情報を取得する(S202)。次に、管理サーバ18は、ポリシデータベース24に記憶されている端末12−2の接続先をGuest−VLANに変更して記憶させるとともに(S204)、端末データベース20から取得した情報に基づいて、端末12−2が接続しているLANスイッチ14−1に端末12−2の接続先変更に関する情報を送信して、端末12−2の接続先をGuest−VLANに変更させる(S206)。 Next, a case where the network administrator forcibly changes the connection destination of the terminal 12 connected to VLAN-1 to Guest-LAN will be described based on the flowchart shown in FIG. First, when the network administrator discovers the terminal 12-2 with insufficient security measures, the terminal 12- notifies the management terminal 16 to change the connection with the terminal 12-2 from the management terminal 16 to the Guest- V LAN. 2 is sent together with the authentication information (S200). When the management server 16 receives the change notification, the management server 16 accesses the terminal database 20 and connects to the LAN switch 14-1 to which the terminal 12-2 is connected based on the authentication information of the terminal 12-2 received together with the change notification. Information regarding the port is searched and the information is acquired (S202). Next, the management server 18 changes the connection destination of the terminal 12-2 stored in the policy database 24 to the Guest-VLAN and stores it (S204), and based on the information acquired from the terminal database 20, the terminal Information regarding the connection destination change of the terminal 12-2 is transmitted to the LAN switch 14-1 to which the terminal 12-2 is connected, and the connection destination of the terminal 12-2 is changed to the Guest-VLAN (S206).

次に、ネットワーク管理者がVLAN−1に接続されている端末12についてセキュリティ対策や認証情報の再認証を行なわせる場合を図4に示すフローチャートに基づいて説明する。先ず、ネットワーク管理者が不審な端末12−3を発見すると、管理端末16から管理サーバ18に端末12−3を再認証する旨の通知を端末12−3の認証情報とともに送信させる(S300)。管理サーバ16は、その再認証通知を受信すると、端末データベース20にアクセスして再認証通知とともに受信した端末12−3の認証情報に基づいて端末12−3が接続しているLANスイッチ14−2と接続ポートに関する情報を検索し、それらの情報を取得する(S302)。次に、管理サーバ18は、端末データベース20から取得した情報に基づいて、端末12−3が接続しているLANスイッチ14−2に端末12−3が接続している接続ポートに関する情報を送信して、端末12−3とローカルネットワークとの接続を一時的に遮断させる(S304)。次に、管理サーバ18は、端末12−3が接続されているLANスイッチ14を介して端末12−3に自己のセキュリティ対策状況を示すセキュリティ対策状況データを管理サーバ18に対して出力するように要求する(S306)。次に、管理サーバ18は、その要求に応じて端末12から出力された自己のセキュリティ対策状況を示すセキュリティ対策状況データをLANスイッチ14−2を介して受信すると(S308)、受信したセキュリティ対策状況データを認証サーバ22に転送し、端末12−3のセキュリティ対策状況の認証を依頼する(S310)。認証サーバ22は、この依頼に基づいてそのセキュリティ対策状況の認証を実行し、認証結果を管理サーバ18に送信する(S312)。管理サーバ18は、この認証結果に基づき、端末12−3のセキュリティ対策が十分であるか否かを判定する(S314)。   Next, a case where the network administrator causes the terminal 12 connected to VLAN-1 to perform security measures and re-authentication of authentication information will be described based on the flowchart shown in FIG. First, when the network administrator finds a suspicious terminal 12-3, the management terminal 16 transmits a notification to the management server 18 to re-authenticate the terminal 12-3 together with the authentication information of the terminal 12-3 (S300). When receiving the re-authentication notification, the management server 16 accesses the terminal database 20 and the LAN switch 14-2 to which the terminal 12-3 is connected based on the authentication information of the terminal 12-3 received together with the re-authentication notification. And information on the connection port is retrieved and the information is acquired (S302). Next, based on the information acquired from the terminal database 20, the management server 18 transmits information on the connection port connected to the terminal 12-3 to the LAN switch 14-2 connected to the terminal 12-3. Thus, the connection between the terminal 12-3 and the local network is temporarily blocked (S304). Next, the management server 18 outputs security countermeasure status data indicating its own security countermeasure status to the terminal 12-3 to the management server 18 via the LAN switch 14 to which the terminal 12-3 is connected. A request is made (S306). Next, when the management server 18 receives security countermeasure status data indicating its own security countermeasure status output from the terminal 12 in response to the request via the LAN switch 14-2 (S308), the received security countermeasure status. The data is transferred to the authentication server 22 to request authentication of the security measure status of the terminal 12-3 (S310). The authentication server 22 performs authentication of the security countermeasure status based on this request, and transmits the authentication result to the management server 18 (S312). Based on the authentication result, the management server 18 determines whether the security measures for the terminal 12-3 are sufficient (S314).

管理サーバ18は、セキュリティ対策が十分であると判定すると、端末12−1に所定の認証情報(ID及びパスワード、MACアドレス、電子証明書等)を要求する(S316)。管理サーバ18は、その要求に応じて端末12−3から出力された所定の認証情報をLANスイッチ14−2を介して受信すると(S318)、端末12−3についての認証を実行する(S320)。管理サーバ18は、認証情報が不適切なものであると認定した場合、その端末12−3の接続を拒否し、その端末12−3をVLAN−1、Guest−VLANのいずれからも遮断する(S322)。例えば、MACアドレスが登録されていない場合などである。一方、管理サーバ18は、端末12の認証情報が適切なものと認定した場合、その端末12−3をVLAN−1に接続させるための制御信号をLANスイッチ14−2に出力して、その端末12−3をVLAN−1に接続させる(S324)。   When determining that the security measures are sufficient, the management server 18 requests predetermined authentication information (ID and password, MAC address, electronic certificate, etc.) from the terminal 12-1 (S316). When the management server 18 receives predetermined authentication information output from the terminal 12-3 in response to the request via the LAN switch 14-2 (S318), the management server 18 executes authentication for the terminal 12-3 (S320). . When the management server 18 recognizes that the authentication information is inappropriate, the management server 18 rejects the connection of the terminal 12-3 and blocks the terminal 12-3 from both VLAN-1 and Guest-VLAN ( S322). For example, this is the case when the MAC address is not registered. On the other hand, when the management server 18 recognizes that the authentication information of the terminal 12 is appropriate, the management server 18 outputs a control signal for connecting the terminal 12-3 to the VLAN-1 to the LAN switch 14-2. 12-3 is connected to VLAN-1 (S324).

また、管理サーバ18は、ステップ314において、セキュリティ対策が不十分であると判定すると、その端末12をGuest−VLANに接続させるための制御信号をLANスイッチ14−2に出力して、その端末12をGuest−VLANに接続させるとともに、ポリシデータベース24に端末12−3の接続先がGuest−VLANに変更したことを通知して記憶させ、さらに端末12−3にGuest−VLANに接続したことを通知する(S326)。Guest−VLANに接続された端末1は、インターネット28を介して、各種のセキュリティ対策用サーバ30にアクセスすることができる。これにより、Guest−VLANに接続された端末12−3は、必要なウイルス検知用データ、パッチファイル等をダウンロードしてセキュリティ対策を実行することができる。管理サーバ18は、端末12−3からセキュリティ対策が完了したことの通知を受信すると(S328)、ステップ306に戻って自己のセキュリティ対策状況を示すセキュリティ対策状況データを管理サーバ18に対して出力するように要求する。一方、接続要求を出力している端末12−3からセキュリティ対策が完了したことの通知を受信しない場合は、接続要求している端末12−3をGuest−VLANに接続した状態のままにする。
If the management server 18 determines in step 314 that the security measures are insufficient, the management server 18 outputs a control signal for connecting the terminal 12 to the Guest-VLAN to the LAN switch 14-2, and the terminal 12 Is connected to the Guest-VLAN, the policy database 24 is notified that the connection destination of the terminal 12-3 has been changed to the Guest-VLAN, and is further stored in the terminal 12-3. (S326). Terminal 1 2 connected to the Guest-VLAN can via the Internet 28, to access various security server 30. As a result, the terminal 12-3 connected to the Guest-VLAN can download necessary virus detection data, patch files, etc., and execute security measures. When the management server 18 receives a notification that the security countermeasure has been completed from the terminal 12-3 (S328), the management server 18 returns to step 306 and outputs security countermeasure status data indicating its own security countermeasure status to the management server 18. To request. On the other hand, when the notification that the security measure has been completed is not received from the terminal 12-3 that has output the connection request, the terminal 12-3 that has requested the connection is left connected to the Guest-VLAN.

なお、管理サーバ18が、管理端末16から各端末12のVLAN−1との接続をVLAN−2へ変更する旨の通知を受信した場合、各端末12のVLAN−1との接続をGuest−VLANに変更する場合と同様のステップによって接続先の変更が行なわれる。   When the management server 18 receives a notification from the management terminal 16 that the connection with the VLAN-1 of each terminal 12 is changed to the VLAN-2, the connection with the VLAN-1 of each terminal 12 is the Guest-VLAN. The connection destination is changed by the same steps as in the case of changing to.

本発明に係るネットワークシステムの実施例の概念図である。1 is a conceptual diagram of an embodiment of a network system according to the present invention. 本実施例に係るネットワークシステムの動作を示すフローチャートである。It is a flowchart which shows operation | movement of the network system which concerns on a present Example. 本実施例に係るネットワークシステムの動作を示すフローチャートである。It is a flowchart which shows operation | movement of the network system which concerns on a present Example. 本実施例に係るネットワークシステムの動作を示すフローチャートである。It is a flowchart which shows operation | movement of the network system which concerns on a present Example.

符号の説明Explanation of symbols

12 端末
14 LANスイッチ
16 管理端末
18 管理サーバ
20 端末データベース
22 認証サーバ
24 ポリシデータベース

12 terminal 14 LAN switch 16 management terminal 18 management server 20 terminal database 22 authentication server 24 policy database

Claims (5)

少なくとも1以上のローカルネットワークと、
前記ローカルネットワークにアクセス不可で、セキュリティ対策可能なセキュリティ対策用ネットワークと、
端末が接続可能で、接続されている端末を前記少なくとも1以上のローカルネットワーク及び前記セキュリティ対策用ネットワークのいずれか一つにアクセス可能な状態とさせるスイッチング部と、
該スイッチング部に接続されている端末のセキュリティ対策状況及び認証情報を認識可能な管理端末と、
前記スイッチング部に接続されている端末の接続元に関するデータを前記端末の認証情報と関連付けて記憶する端末データベースと、
前記スイッチング部に接続されている端末のセキュリティ対策の状態を認証する認証部と、
前記スイッチング部に接続されている端末の認証情報に基づいて前記端末データベースに記憶されている端末の接続元に関するデータを検索可能な管理サーバと、
を備えたネットワークシステムであって、
前記管理端末は、前記少なくとも1以上のローカルネットワークの一のローカルネットワークに接続されている一の端末の再認証の要請を前記管理サーバに前記一の端末の認証情報とともに送信可能に構成されており、
前記管理サーバは、前記スイッチング部に接続されている一の端末の再認証の要請を前記管理端末から受信すると、前記端末データベースに記憶されている前記一の端末の接続元に関するデータを検索し、
前記認証部は、前記管理サーバによって検索された前記一の端末の接続元に関するデータに基づいて、前記一の端末のセキュリティ対策の状態を再認証し、
前記スイッチング部は、前記認証部による再認証によって接続されている端末のセキュリティ対策が十分であると認証された場合、接続されている端末を前記のローカルネットワークにアクセス可能な状態にし、前記認証部による再認証によって接続されている端末のセキュリティ対策が不十分であると認証された場合、接続されている端末を前記セキュリティ対策用ネットワークにアクセス可能な状態にすることを特徴とするネットワークシステム。 At least one local network;
A network for security measures that is inaccessible to the local network and capable of security measures;
A switching unit that is connectable to a terminal, and that makes the connected terminal accessible to any one of the at least one local network and the security countermeasure network;
A management terminal capable of recognizing the security countermeasure status and authentication information of the terminal connected to the switching unit;
A terminal database that stores data relating to a connection source of a terminal connected to the switching unit in association with authentication information of the terminal;
An authentication unit for authenticating a state of security measures of a terminal connected to the switching unit;
A management server capable of searching for data related to a terminal connection source stored in the terminal database based on authentication information of a terminal connected to the switching unit;
A network system comprising:
The management terminal is configured to transmit a request for re-authentication of one terminal connected to one local network of the at least one or more local networks to the management server together with authentication information of the one terminal. ,
When the management server receives a request for re-authentication of one terminal connected to the switching unit from the management terminal, the management server searches for data related to the connection source of the one terminal stored in the terminal database;
The authentication unit re-authenticates the state of the security measure of the one terminal based on the data related to the connection source of the one terminal searched by the management server,
If the switching unit is authenticated by re-authentication by the authentication unit that the security measures of the connected terminal are sufficient, the switching unit makes the connected terminal accessible to the one local network, and the authentication A network system characterized in that, when it is authenticated that a security measure of a connected terminal is insufficient by re-authentication by a unit, the connected terminal is made accessible to the security countermeasure network. 前記認証部は、前記管理端末から前記スイッチング部に接続されている端末の再認証の要請を受信した場合、さらに前記端末の認証情報の再認証を行なうよう構成されており、
前記スイッチング部は、前記認証部による再認証によって前記端末の認証情報が所定のものでないと認証された場合、前記端末と前記少なくとも1以上のローカルネットワーク及び前記セキュリティ対策ネットワークのいずれのネットワークとの接続を遮断するように構成されていることを特徴とする請求項記載のネットワークシステム。 The authentication unit is configured to re-authenticate the authentication information of the terminal when receiving a request for re-authentication of the terminal connected to the switching unit from the management terminal,
The switching unit, when re-authentication by the authentication unit authenticates that the authentication information of the terminal is not predetermined, the connection between the terminal and any one of the at least one local network and the security countermeasure network The network system according to claim 1 , wherein the network system is configured to block the communication. 前記スイッチング部は、前記管理サーバが前記管理端末から前記スイッチング部に接続されている端末の再認証の要請を受信した場合、前記端末のネットワークとのアクセスを一旦不可の状態にするよう構成されていることを特徴とする請求項1又は2記載のネットワークシステム。 The switching unit is configured to temporarily disable access to the network of the terminal when the management server receives a request for re-authentication of the terminal connected to the switching unit from the management terminal. The network system according to claim 1 or 2, wherein 前記管理端末は、前記管理サーバに前記一の端末の接続を遮断することの要請を前記一の端末の認証情報とともに送信可能に構成されており、
前記管理サーバは、前記一の端末の接続を遮断することの要請を前記管理端末から受信すると、前記端末データベースに記憶されている前記一の端末の接続元に関するデータを検索し、
前記スイッチング部は、前記管理サーバによって検索された前記一の端末の接続元に関するデータに基づいて、前記一の端末との接続を遮断することを特徴とする請求項記載のネットワークシステム。 The management terminal is configured to be able to transmit a request to block the connection of the one terminal to the management server together with authentication information of the one terminal,
When the management server receives a request for blocking the connection of the one terminal from the management terminal, the management server searches for data related to the connection source of the one terminal stored in the terminal database;
The network system according to claim 3 , wherein the switching unit blocks connection with the one terminal based on data related to a connection source of the one terminal searched by the management server. 前記一の端末の認証情報は、ユーザID、パスワード、MACアドレス及び電子証明書のいずれか一以上であることを特徴とする請求項1乃至いずれか記載のネットワークシステム。
Authentication information of the one terminal, user ID, password, claims 1 to 4 network system according to any one, characterized in that at any one or more of the MAC address and the electronic certificate.
JP2003435500A 2003-12-26 2003-12-26 Network system Expired - Fee Related JP3739772B2 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2003435500A JP3739772B2 (en) 2003-12-26 2003-12-26 Network system
PCT/JP2004/019414 WO2005064486A1 (en) 2003-12-26 2004-12-24 Network system and network control method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003435500A JP3739772B2 (en) 2003-12-26 2003-12-26 Network system

Publications (2)

Publication Number Publication Date
JP2005196279A JP2005196279A (en) 2005-07-21
JP3739772B2 true JP3739772B2 (en) 2006-01-25

Family

ID=34815559

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003435500A Expired - Fee Related JP3739772B2 (en) 2003-12-26 2003-12-26 Network system

Country Status (1)

Country Link
JP (1) JP3739772B2 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4709033B2 (en) * 2006-02-28 2011-06-22 キヤノン株式会社 Information processing apparatus and information processing method
JP6345092B2 (en) * 2014-11-25 2018-06-20 エイチ・シー・ネットワークス株式会社 Communications system

Also Published As

Publication number Publication date
JP2005196279A (en) 2005-07-21

Similar Documents

Publication Publication Date Title
EP1379046B1 (en) A personal firewall with location detection
JP5790827B2 (en) Control device, control method, and communication system
US7325248B2 (en) Personal firewall with location dependent functionality
US8185933B1 (en) Local caching of endpoint security information
EP1591868B1 (en) Method and apparatus for providing network security based on device security status
KR100901271B1 (en) Communication system, network for qualification screening/setting, communication device, and network connection method
JP5278272B2 (en) Network communication apparatus and automatic reconnection method thereof
JP5305045B2 (en) Switching hub and quarantine network system
JP2019092149A (en) Poisoning protection for process control switches
WO2007116605A1 (en) Communication terminal, rule distribution apparatus and program
JP4581104B2 (en) Network security system
JP4082613B2 (en) Device for restricting communication services
JP6117050B2 (en) Network controller
JP2007257507A (en) System for updating software of terminal in access authentication of terminal
JP2005197815A (en) Network system and network control method
JP3739772B2 (en) Network system
JP5393286B2 (en) Access control system, access control apparatus and access control method
JP4418211B2 (en) Network security maintenance method, connection permission server, and connection permission server program
JP4029898B2 (en) Network equipment
JP3725893B2 (en) Network system
US10887399B2 (en) System, method, and computer program product for managing a connection between a device and a network
WO2005064486A1 (en) Network system and network control method
KR20160052978A (en) Ids system and method using the smartphone
KR20020096194A (en) Network security method and system for integration security network card
JP2006155062A (en) Network quarantine system

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050705

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050831

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20051011

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20051102

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20081111

Year of fee payment: 3

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313111

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20081111

Year of fee payment: 3

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20081111

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091111

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101111

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111111

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees